Direct Anonymous Attestation

Direct Anonymous Attestation (DAA, с англ. — «прямая анонимная аттестация») — это криптографический примитив, который делает возможным удаленную аутентификацию доверенного модуля^[1], сохраняя конфиденциальность пользователя.

Прямая анонимная аттестация похожа на групповую подпись без опции раскрытия пользователя, однако она допускает создание псевдонимов, то есть позволяет создателю подписей связывать подписи между собой. Также она позволяет проверять то, что подпись была сгенерирована с помощью скомпрометированного секретного ключа. Безопасность схемы доказана в модели случайного оракула при условии выполнения допущений устойчивого RSA и Диффи — Хеллмана о принятии решений^[2].

TCG (от англ. Trusted Computing Group) приняла прямую анонимную аттестацию в качестве метода удаленной аутентификации аппаратного модуля, называемого доверенным аппаратным модулем или TPM (от англ. Trusted Platform Module), сохраняющего конфиденциальность пользователя платформы, содержащей данный модуль^[2].

Реализация[править | править код]

Проблема конфиденциальности может быть решена с использованием любой стандартной схемы аутентификации с открытым ключом (или схемы подписи). Можно создать пару секретный / открытый ключ, а затем встраивать секретный ключ в каждый TPM. После этого верификатор и TPM действуют в соответствии с протоколом аутентификации. Так как все TPM используют один и тот же ключ, то они будут неразличимы. Но это решение никогда не сработает на практике: как только один аппаратный модуль будет скомпрометирован, а секретный ключ извлечен и опубликован, верификаторы больше не смогут отличать настоящие TPM от мошеннических. Поэтому должна быть возможность обнаружения мошеннических TPM^[2].

В первой версии спецификации TPM v1.1, принятой TCG, требуется пользующаяся доверием третья сторона, то есть центр сертификации или CA (от англ. Certification Authority) конфиденциальности . Каждый TPM имеет встроенную пару ключей RSA, называемую ключом подтверждения или EK (от англ. Endorsement Key). CA должен знать ключи подтверждения всех действующих TPM. В целях идентифицировать себя, TPM генерирует вторую пару ключей RSA, называемую ключом удостоверения подлинности или AIK (от англ. Attestation Identity Key) и отправляет открытый AIK, подписанный ключом подтверждения в CA, который проверяет его действительность и выдает сертификат для ключа удостоверения подлинности. При такой реализации центр конфиденциальности должен знать открытый ключ подтверждения TPM или администратор TPM должен предоставлять сертификат подтверждения. Существует два пути для обнаружения мошеннических TPM данным методом. Во-первых, центр сертификации конфиденциальности должен вести список TPM, идентифицируя их по ключами подтверждения, чтобы определить мошеннические, и отклонять запросы от них. Во-вторых, если центр сертификации конфиденциальности получает слишком много запросов от определенного TPM, то он может их отклонить и заблокировать ключ подтверждения данного TPM. Это решение является сложным, так как требования конфиденциальности могут быть нарушены, если центр сертификации конфиденциальности и верификатор вступают в сговор^[3].

Формальная спецификация[править | править код]

В реальной системе существует ряд участников, которые взаимодействуют друг с другом в соответствии с криптографическими протоколами, есть нечестный участник ${\displaystyle A}$ (от англ. Adversary), контролирующий некоторых участников, и среда ${\displaystyle E}$ (от англ. Environment), которая предоставляет участнику ${\displaystyle U_{i}}$ входные данные и произвольно взаимодействует с ${\displaystyle A}$. Среда передает входные данные честным участникам, получает их выходные данные и произвольно взаимодействует с нечестным участником ${\displaystyle A}$. В идеальной системе участники не запускают никаких протоколов, но отправляют все свои входные данные и получают свои выходные данные от доверенной стороны ${\displaystyle T}$ (от англ. Trusted party). Ее роль заключается в том, чтобы вычислить выходные данные для каждого участника исходя их входных данных, таким образом реализуя функционал криптографических протоколов. Криптографический протокол считается надёжным, если для любого нечестного участника ${\displaystyle A}$ и для любой среды ${\displaystyle E}$ существует симулятор ${\displaystyle S}$ (от англ. Simulator), контролирующий поток данных тех же участников в идеальной системе, что и ${\displaystyle A}$ в реальной системе, такой что среда не может различить, действует ли она в реальной системе и взаимодействует с ${\displaystyle A}$ или действует в идеальной системе и взаимодействует с симулятором ${\displaystyle S}$. Зададим функциональность прямой анонимной аттестации. Могут различаться следующие типы участников: эмитент ${\displaystyle I}$ (от англ. Issuer), модуль доверенной платформы ${\displaystyle M_{i}}$ с идентификатором ${\displaystyle id_{i}}$ (от англ. Identity), хост ${\displaystyle H_{i}}$ (от англ. Host) со встроенным TPM ${\displaystyle M_{i}}$, верификаторы ${\displaystyle V_{j}}$ (от англ. Verifier) функция-оракул ${\displaystyle O}$ (от англ. Oracle), которая показывает мошеннические TPM^[4].

Идеальная система доверенной стороны ${\displaystyle T}$ обеспечивает следующие операции:

Настройка: Каждый TPM ${\displaystyle M_{i}}$ отправляет свой уникальный идентификатор ${\displaystyle id_{i}}$ доверенной стороне ${\displaystyle T}$, который пересылает его соответствующему хосту ${\displaystyle H_{i}}$.

Соединение:

• Хост ${\displaystyle H_{i}}$ обращается к ${\displaystyle T}$ с просьбой стать участником.
• ${\displaystyle T}$ отправляет определенному TPM ${\displaystyle M_{i}}$ значение счетчика ${\displaystyle cnt}$ (от англ. Counter value).
• Затем ${\displaystyle T}$ спрашивает эмитента ${\displaystyle I}$, может ли платформа с идентификатором ${\displaystyle id}$ и значением счетчика ${\displaystyle cnt}$ стать участником.
• Если ${\displaystyle M_{i}}$ был помечен как мошенник в соответствии со значением счетчика, ${\displaystyle T}$ передает это ${\displaystyle I}$ тоже.
• Если эмитент соглашается, то ${\displaystyle T}$ уведомляет ${\displaystyle H_{i}}$, что он стал участником.

DAA Подпись/Проверка:

• Хост ${\displaystyle H_{i}}$ хочет подписать сообщение ${\displaystyle m}$ относительно некоторого базового имени ${\displaystyle bsn}$ ${\displaystyle \in \{0,1\}^{*}\cup \{\bot \}}$ и некоторого значения счетчика ${\displaystyle cnt}$ для некоторого верификатора ${\displaystyle V_{j}}$.
• ${\displaystyle H_{i}}$ отправляет ${\displaystyle m}$, ${\displaystyle bsn}$ и ${\displaystyle cnt}$ в ${\displaystyle T}$.
• Если ${\displaystyle H_{i}}$ или ${\displaystyle M_{i}}$ не являются участниками с учетом ${\displaystyle cnt}$, то T отклоняет запрос.
• Иначе ${\displaystyle T}$ пересылает ${\displaystyle m}$ и ${\displaystyle cnt}$ к соответствующему ${\displaystyle M_{i}}$ и спрашивает его о желании это подписать.
• Если он согласен, то ${\displaystyle T}$ передает ${\displaystyle H_{i}}$, что ${\displaystyle M_{i}}$ соглашается и спрашивает его какое базовое имя ${\displaystyle bsn}$ он хочет подписать (или хочет прервать).
• Если ${\displaystyle H_{i}}$ не прерывает, то ${\displaystyle T}$ будет работать следующим образом:
  • ${\displaystyle M_{i}}$ был помечен как мошенник, тогда ${\displaystyle T}$ дает знать ${\displaystyle V_{j}}$, что мошеннический TPM подписал ${\displaystyle m}$.
  • ${\displaystyle bsn=\bot }$, то ${\displaystyle T}$ отправляет ${\displaystyle V_{j}}$, что m было подписано ${\displaystyle bsn}$.
  • ${\displaystyle bsn\neq \bot }$, то ${\displaystyle T}$ проверяет, подписали ли ${\displaystyle H_{i}}$ или ${\displaystyle M_{i}}$ сообщение с ${\displaystyle bsn}$ и ${\displaystyle cnt}$. Если это выполнилось, то ${\displaystyle T}$ ищет соответствующий псевдоним ${\displaystyle P}$ в своих данных; в другом случае ${\displaystyle T}$ выбирает новый случайный псевдоним ${\displaystyle P}$ ${\displaystyle \in \{0,1\}^{l_{c}}}$ (${\displaystyle l_{c}}$ — параметр безопасности). В конце ${\displaystyle T}$ сообщает ${\displaystyle V_{j}}$, что платформа с псевдонимом ${\displaystyle P}$ подписала ${\displaystyle m}$.

Идентификация мошенников:

• ${\displaystyle O}$ указывает ${\displaystyle T}$ платформу с идентификатором ${\displaystyle id}$ с учетом ${\displaystyle cnt}$ как на мошенника.
• Если TPM с идентификатором ${\displaystyle id}$ не поврежден, то T отклоняет запрос.
• Иначе ${\displaystyle T}$ помечает TPM с идентификатором ${\displaystyle id}$ как мошеннический в соответствии со значения счетчика cnt^[5].

Модель безопасности[править | править код]

Протокол DAA основан на четырех типах объектов. Объектами являются некоторое количество доверенных аппаратных модулей или микропроцессоров с поддержкой EPID (от англ. Enhanced Privacy ID), эмитент, верификаторы и хосты. TPM и хост образуют платформу, которая обращается к эмитенту в соответствии с протоколом соединения. Эмитент должен проверить платформу и решить, разрешает ли он ей стать участником. Эмитент является объектом протокола DAA, который выдает учетные данные на основе ключевых атрибутов платформы. Далее TPM и принимающая сторона подписывают сообщения базовым именем — ${\displaystyle bsn}$ (от англ. basename). Если платформа подписана с помощью ${\displaystyle bsn=\bot }$ или нового базового имени, подпись должна быть анонимной и недоступной для предыдущих подписей. Это значит, что любой верификатор может проверить факт того, что подпись была получена от подтвержденной платформы с помощью детерминированного алгоритма. Но подпись не дает никакой информации о подписавшейся личности. Когда платформа подписывается ${\displaystyle bsn\neq \bot }$, становится очевидно, что полученные подписи были созданы одной и той же платформой.^[6].

• Полнота: честная платформа успешно создает подпись для сообщения с базовым именем ${\displaystyle bsn}$, честный верификатор принимает подпись.

• Корректность соединения: честная платформа успешно создает две подписи ${\displaystyle {\sigma }_{1}}$ и ${\displaystyle {\sigma }_{2}}$, одно и то же базовое имя ${\displaystyle bsn=\bot }$, честный верификатор, выполняющий алгоритм соединения на ${\displaystyle {\sigma }_{1}}$ и ${\displaystyle {\sigma }_{2}}$, даст 1.

Задача посложнее заключается в определении свойств безопасности, которые схема DAA должна давать в присутствии мошенника:

• Стойкость 1: Когда эмитент и все доверенные платформенные модули честны, ни один мошенник не может создать подпись для сообщения m с базовым именем ${\displaystyle bsn}$, если ни одна платформа не подписала ${\displaystyle m}$ с ${\displaystyle bsn}$.

• Стойкость 2: Когда эмитент честен, мошенник может подписаться только именем поврежденных TPM. Если ${\displaystyle n}$ TPM повреждены, мошенник может создать не более ${\displaystyle n}$ несвязанных подписей для одного и того же базового имени ${\displaystyle bsn\neq \bot }$.

• Анонимность: мошенник, которому даны две подписи с двумя разными базовыми именами или ${\displaystyle bsn=\bot }$, не может найти отличить, были ли обе подписи созданы одной честной платформой или двумя разными^[7].

Параметры безопасности[править | править код]

В схеме прямой анонимной аттестации используются параметры безопасности ${\displaystyle l}$_n — размер модуля RSA, ${\displaystyle l}$_f — размер f_i (закодированная информация в сертификате), ${\displaystyle l}$_e — размер экспоненты, состовляющей часть сертификата, ${\displaystyle l'}$_e — размер интервала, из которого выбирается экспонента, ${\displaystyle l}$_∅ — параметром безопасности, управляющий статистическим свойством нулевого разглашения, ${\displaystyle l}$_𝑣 — размер 𝑣 (случайное значение, часть сертификата), ${\displaystyle l}$_𝛨 — выходная длина хэш-функции, используемая для эвристического алгоритма Фиат-Шамира, ${\displaystyle l}$_r — параметр безопасности для уменьшения доказательства безопасности, ${\displaystyle l}$_G — размер модуля G, ${\displaystyle l}$_p — размеру порядка p подгруппы ${\displaystyle \mathbb {Z} _{G}^{*}}$ для маркировки ошибок.

При ${\displaystyle l_{p}=2l_{f}}$ должны выполняться следующие неравенства:

${\displaystyle l_{e}>l_{\varnothing }+l_{H}+max\{l_{f}+4,l_{e}'+2\}}$

${\displaystyle l_{v}>l_{\varnothing }+l_{H}+l_{n}+max\{l_{f}+l_{r}+3,l_{\varnothing }+2\}}$

Задача дискретного логарифмирования в подгруппе ${\displaystyle \mathbb {Z} _{G}^{*}}$ порядка ${\displaystyle \rho }$, при условии, что ${\displaystyle G}$, ${\displaystyle \rho }$ простые числа ${\displaystyle 2^{l_{G}}>G>2^{l_{G}-1}}$ и ${\displaystyle 2^{l_{p}}>p>2^{l_{p}-1}}$, должны иметь одинаковую сложность с факторизацией ${\displaystyle l_{n}}$-бит RSA. Для выполнения данного условия выбираются ${\displaystyle l_{p}}$, ${\displaystyle l_{G}}$. ${\displaystyle H}$ — устойчивая к коллизиям хэш-функция ${\displaystyle H}$: ${\displaystyle \{0,1\}^{*}\rightarrow \{0,1\}^{l_{H}}}$^[8].

Функции эмитента[править | править код]

Генерация ключей формирует неинтерактивное доказательство с использованием эвристики Фиат-Шамира того, что выбор ключей был сделан правильно. Это будет гарантировать требования безопасности хоста и его пользователя, следовательно анонимность и конфиденциальность подписей будут сохраняться.

• Эмитент выбирает RSA модули ${\displaystyle n=p*q}$ с такими ${\displaystyle p,q}$, что ${\displaystyle p=2p^{'}+1}$ , ${\displaystyle q=2q^{'}+1}$, такими что ${\displaystyle p,p',q,q'}$ являются простыми числами и ${\displaystyle n}$ имеет ${\displaystyle l_{n}}$ бит.

• Эмитент выбирает генератор случайных чисел ${\displaystyle g'}$ из ${\displaystyle QR_{n}}$ (группа квадратичных вычетов по модулю ${\displaystyle n}$).
• Эмитент выбирает случайные целые числа ${\displaystyle x_{0},x_{1},x_{z},x_{s},x_{b},x_{g}\in [1,p'q']}$ и вычисляет:

${\displaystyle g:=g^{'x_{g}}{\bmod {n}}}$

${\displaystyle h:=g^{'x_{h}}{\bmod {n}}}$

${\displaystyle Z:=h^{x_{z}}{\bmod {n}}}$

${\displaystyle R_{0}:=S^{x_{0}}{\bmod {n}}}$

${\displaystyle S:=h^{x_{s}}{\bmod {n}}}$

${\displaystyle R_{1}:=S^{x_{1}}{\bmod {n}}}$

• Эмитент предоставляет неинтерактивное доказательство того, что ${\displaystyle R_{0},R_{1},S,Z,g,h}$ вычислены правильно, то есть ${\displaystyle g,h\in <g'>}$, ${\displaystyle S,Z\in <h>}$, и ${\displaystyle R_{0},R_{1}\in <S>}$.
• Эмитент генерирует группу простого порядка, то есть выбирает случайные простые числа ${\displaystyle p,G}$ так, чтобы ${\displaystyle G=r*p+1}$ для некоторого ${\displaystyle r}$: ${\displaystyle p\nmid r}$ и

${\displaystyle 2^{l_{G}-1}<G<2^{l_{G}}}$ и ${\displaystyle 2^{l_{p}-1}<p<2^{l_{p}}}$

Далее он выбирает случайное ${\displaystyle y'{\in }_{R}\mathbb {Z} _{G}^{*}}$ такое что ${\displaystyle y^{'(G-1)/p}\neq 1({\bmod {G}})}$ и ${\displaystyle y:=y^{'(G-1)/p}\neq 1{\bmod {G}}}$.

• В конце он публикует открытый ключ ${\displaystyle n,g',g,h,S,Z,R_{0},R_{1},y,G,p}$ и сохраняет ${\displaystyle p'q'}$ в качестве секретного ключа.

Пусть ${\displaystyle H_{G}(\cdot )}$ и ${\displaystyle H(\cdot )}$ — две устойчивые к коллизии хэш-функции, тогда:

${\displaystyle H_{G}(\cdot )}$ : ${\displaystyle \{0,1\}^{*}\to \{0,1\}^{l_{G}+l_{\varnothing }}}$

${\displaystyle H(\cdot )}$ : ${\displaystyle \{0,1\}^{*}\to \{0,1\}^{l_{H}}}$^[9].

Существующие реализации[править | править код]

Брикелл Э., Камениш Я., Чэнь Л. сделали первую схему прямой анонимной аттестации на основе RSA^[10]. Но схема была небезопасна и требовала исправлений. Брикелл Э., Чэнь Л., Ли Ц.. повысили эффективность первой схемы, используя симметричные пары, вместо RSA^[11]. Чэнь Л., Моррисси П., Смарт Н. попытались увеличить эффективность, переключаясь с симметричного на асимметричный параметр, но к сожалению, асимметричная схема оказалась небезопасна^[12][13]. Чэнь Л., Пейдж Д., Смарт Н. предложили новую криптографическую схему с использованием кривых Баррето-Наерига^[14]. Эта схема реализуется как EPID 2.0, так и стандартом TPM 2.0^[15].

Примечания[править | править код]

Литература[править | править код]

• Brickell E., Camenisch J., Chen L. Direct Anonymous Attestation // ACM Conference on Computer and Communications Security. — ACM New York, NY, USA, 2004. — С. 132—145. — ISBN 1-58113-961-6. — doi:10.1145/1030083.1030103.
• Camenisch J., Drijvers M., Lehmann A. Universally Composable Direct Anonymous Attestation // Public-Key Cryptography – PKC 2016. — Springer Berlin Heidelberg, 2016. — С. 234—264. — ISBN 978-3-662-49387-8. — doi:10.1007/978-3-662-49387-8_10.
• Smyth B., Ryan M., Chen L. Formal analysis of privacy in Direct Anonymous Attestation schemes // Elsevier. — Science of Computer Programming, 2015. — С. 300—317. — doi:10.1016/j.scico.2015.04.004.
• Brickell E., Chen L., Li J. Simplified security notions of Direct Anonymous Attestation and a concrete scheme from pairings // International Journal of Information Security. — 2009. — С. 315–330. — doi:10.1007/s10207-009-0076-3.
• Chen L., Morrissey P., Smart N.P. On Proofs of Security for DAA Schemes // 3rd International Conference on Trust and Trustworthy Computing. — Springer, Berlin, Heidelberg, 2008. — С. 156—175. — ISBN 978-3-540-88733-1. — doi:10.1007/978-3-540-88733-1_11.
• Chen L., Morrissey P., Smart N.P. Pairings in Trusted Computing // Lecture Notes in Computer Science. — Springer, Berlin, Heidelberg, 2008. — С. 1—17. — ISBN 978-3-540-85538-5. — doi:10.1007/978-3-540-85538-5_1.
• Chen L., Page D., Smart N.P. On the Design and Implementation of an Efficient DAA Scheme // Lecture Notes in Computer Science. — Springer, Berlin, Heidelberg, 2010. — С. 223–237. — ISBN 978-3-642-12510-2. — doi:10.1007/978-3-642-12510-2_16.